因為 Windows 10 IoT Enterprise 的 2016 LTSB 推出至今將滿 10 年了,除了在今年 7/31 會 EOL 之外,也將會在今年的 10/13 正式 EOS。
手上的機台還是運作 Windows 10 IoT Enterprise 的 2016 LTSB 的怎辦呢?可以的話請把目光放向 Windows 11 IoT Enterprise LTSC 會是最長治久安的打算:
| - - - - - - | Win10 IoT Enterprise | Win11 IoT Enterprise | |
|---|---|---|---|
| - - - - - - | 2016 LTSB | 2021 LTSC | 2024 LTSC |
| 核心 | Win10 1607 | Win10 21H2 | Win11 24H2 |
| 支援 | 2026 | 2032 | 2034 |
| 安全性 | 舊 | 中 | 最新 |
| 硬體支援 | 很差 | OK | 最好 |
| IoT 能力 | 基本 | 成熟 | 完整 |
| 建議程度 | ❌ | ⚠️ | ✅ |
但對機台的維運來看,考慮到成本、硬體的合規性、軟/韌體的相容性…等,要直升 Windows 11 IoT Enterprise 還是有其難度。
所以,最後還是會不爭氣的選擇 Windows 10 IoT Enterprise 的 2021 LTSC 可能是才會較安全的轉換路線。
在設定 LTSC 2021 的環境 image 時,在操作過程中有一個很特殊的處理:
關閉 Windows Defender 與停止 Real-time Protection (即時保護)
以下為操作時遭遇的各種狀況與透過 AI 協助問答釐清問題的過程。
Turn 1
👤 User
Windows Defender 關閉,跟只關 Real-time Protection 的差異是什麼
🤖 Assistant
這兩者的差異非常大,主要體現在 防護範圍的廣度 以及 停用的時間長短。
簡單來說:只關閉「即時保護」是 暫時且局部 的妥協;而完全關閉 Windows Defender 則是 永久且徹底 卸下系統防護。
以下是詳細的差異說明:
1. 只關閉「即時保護」 (Real-time Protection)
當你透過「Windows 安全性」設定介面,單純將「即時保護」的開關切換為關閉時:
- 影響範圍:系統不會在你下載、開啟、儲存或執行檔案的「當下」進行掃描。這通常是用來暫時避開軟體誤判(例如安裝某些破解檔或特殊工具)的作法。
- 仍在運作的功能:Windows Defender 並沒有真正休息。其他的防護機制(如:雲端提供的保護、自動提交樣本、勒索軟體防護、防火牆、以及 排程的背景掃描)依然在運作。
- 最大特點(暫時性):這是 短暫的 。Windows 作業系統基於安全機制,會在一段時間後(通常是幾個小時)或者在你 重新開機後,自動幫你把「即時保護」重新開啟 。
2. 完全關閉 Windows Defender
這是指透過修改「登錄檔 (Registry)」、「本機群組原則 (Group Policy)」或是安裝了「第三方防毒軟體」,讓 Windows Defender 的防毒引擎徹底停止運作。
- 影響範圍:整個 Windows Defender 防毒服務(包含掃描引擎)被完全終止。不會有任何檔案掃描,也不會有任何背景排程掃描。
- 仍在運作的功能:無。防毒與威脅防護功能形同虛設(除非你是因為安裝了其他防毒軟體而被系統自動接管)。
- 最大特點(永久性):只要你不去把登錄檔或群組原則改回來(或者不解除安裝第三方防毒軟體),Windows Defender 就會 永遠保持關閉狀態,重開機也不會自動恢復。
總結比較表:
| 比較項目 | 只關閉「即時保護」 | 完全關閉 Windows Defender |
|---|---|---|
| 運作狀態 | 防毒引擎仍在背景運作 | 防毒引擎完全停止 |
| 當下檔案掃描 | 停止 | 停止 |
| 排程掃描 / 其他防護 | 繼續執行 | 停止 |
| 時效性 | 暫時性(過陣子或重開機會自動恢復) | 永久性(直到手動改回設定或移除第三方防毒) |
| 如何達成 | 系統設定介面直接點擊開關 | 需修改登錄檔、群組原則,或安裝第三方防毒 |
| 適用情境 | 臨時安裝會被誤判的軟體 | 電腦效能極度不足、完全依賴其他防毒軟體、或特殊測試環境 |
⚠️ 安全性提醒: 除非你有安裝其他可靠的第三方防毒軟體(如 Kaspersky、Bitdefender、ESET …等),否則強烈不建議「完全關閉」Windows Defender,這會讓你的電腦在面對惡意軟體、勒索病毒時毫無防備能力。
Turn 2
👤 User
要怎麼確定現在系統上的 Windows Defender 是開啟還是關閉?
🤖 Assistant
要確定 Windows Defender 目前的狀態(是開啟、只關了即時保護,還是被徹底關閉),你可以透過以下三種最常見的方法來檢查:
方法一:透過「Windows 安全性」介面檢查(最簡單直覺)
這是最一般使用者的檢查方式,可以直接看到目前的防護層級。
1. 開啟 Windows 安全性:點擊螢幕右下角工作列的「盾牌」圖示,或者在開始功能表搜尋「Windows 安全性」。
2. 進入防護設定:點擊「病毒與威脅防護」。
3. 觀察畫面顯示的狀態:
- 狀態 A(完全正常開啟):畫面顯示綠色打勾,且點進「管理設定」中,「即時保護」的開關是 開啟 (藍色) 的。
- 狀態 B(只關閉了即時保護):畫面上方會有黃色驚嘆號或紅色叉叉警告,提示防護已關閉。點進「管理設定」中,「即時保護」的開關是 關閉 的。
- 狀態 C(被第三方防毒取代完全關閉):在「病毒與威脅防護」的頁面,會直接顯示「Microsoft Defender 防毒軟體選項」被隱藏,並顯示你目前安裝的另一款防毒軟體名稱(例如:目前由 Kaspersky 保護)。
- 狀態 D(透過登錄檔/群組原則被徹底關閉):畫面可能會顯示「由您的組織管理」(Some settings are managed by your organization)的紅字提示,並且底下的「即時保護」等開關會變成反灰無法點擊,甚至整個頁面呈現空白或無法載入。
方法二:透過 PowerShell 指令檢查(最精準專業)
如果你想看到最底層、最準確的引擎運作狀態,可以使用系統內建的 PowerShell 來查詢。
- 在開始功能表搜尋「PowerShell」。
- 對它按右鍵,選擇「以系統管理員身分執行」。
- 貼上以下指令並按 Enter:
Get-MpComputerStatus - 在跑出來的一大串英文清單中,尋找以下兩行關鍵字:
- AMServiceEnabled (防毒引擎服務是否運作):
顯示 "True":代表 Defender 引擎仍在背景運作中。
顯示 "False":代表 Windows Defender 被 徹底關閉 了。 - RealTimeProtectionEnabled (即時保護是否開啟):
顯示 "True":代表即時掃描開啟中。
顯示 "False":代表 即時保護已關閉。
- AMServiceEnabled (防毒引擎服務是否運作):
方法三:檢查系統服務 (Services)
這個方法可以用來確認防毒軟體最底層的服務是否還活著。
- 按下鍵盤的 "Win + R" 開啟「執行」視窗。
- 輸入
services.msc並按 Enter。 - 在服務列表中往下滑,找到名稱為「Microsoft Defender Antivirus Service」的項目。
- 查看它的「狀態」與「啟動類型」:
- 如果狀態顯示「執行中」,代表 Windows Defender 是開啟的(即使你關了即時保護,這個服務通常也還在跑)。
- 如果狀態是「空白(停止)」,且你無法對它按右鍵重新啟動,那代表 Windows Defender 已經被 徹底關閉 了。
💡 快速判斷小訣竅:
如果你的電腦裡有安裝 Avast、McAfee、諾頓 (Norton) 等其他防毒軟體,Windows 10/11 的機制會自動將 Windows Defender 徹底關閉並進入被動模式,以免兩套防毒軟體互相衝突導致電腦卡頓。在這種情況下,你不需要特別去檢查,因為防護工作已經自動移交給你的第三方防毒軟體了。
Turn 3
👤 User
如果已經在 Group Policy 中關了 Real-time Protection 與 整體開關,系統重新開機後整體開關還是會打開。如果將 Real-time Protection 開起來後 再關閉整體的開關,系統重新開機後整體開關就會保持關閉。會有這個現象嗎?
🤖 Assistant
這個現象的確存在!你的觀察非常敏銳,這不是你設定錯誤或眼花。這是 Windows 內部「自我修復機制」與「群組原則」打架時,所產生的一種 邏輯漏洞(奇特現象)。
在 Windows 10 較新的版本與 Windows 11 中,要透過群組原則徹底關閉 Windows Defender 變得非常困難。你所遇到的狀況,正是 Windows 系統安全健康檢查(Health Check)機制的判定邏輯所導致的。
以下是為什麼會發生這種現象的底層邏輯:
情境 A:關閉「即時保護」+ 關閉「整體防毒」
結果:重開機後,系統強制把 Defender 全部打開。
- 發生了什麼事:當你把這兩個開關都關閉時,Windows 系統在重開機時會進行安全健康檢查(Windows Security Center)。它發現防毒引擎(整體)死掉了,而且即時掃描(Real-time)也死掉了,同時系統又沒有偵測到第三方防毒軟體接管。
- 系統的反應:系統會判定這是「極度危險的狀態」(或者認為是惡意軟體把防毒全關了)。因此,它會觸發最高層級的「自我修復(Self-Healing)」**機制,直接無視甚至覆蓋掉你設定的群組原則,強制把 Defender 引擎和即時保護全部重新啟動,以確保你沒有處於「裸機」狀態。
情境 B:開啟「即時保護」+ 關閉「整體防毒」
結果:重開機後,整體防毒維持關閉狀態(成功被你關掉)。
- 發生了什麼事:這裡你創造了一個「邏輯衝突」。你告訴系統「我要保持即時保護運作」,但同時又告訴系統「我要把底層的防毒引擎關掉」。
- 系統的反應:當重開機進行健康檢查時,系統的判定機制看到「即時保護」的旗標是顯示 開啟 的,它可能就判定「喔,看起來防護還在運作」,從而 沒有觸發 上述的緊急自我修復機制。
結果就會是,因為緊急防護機制被騙過去了(沒有啟動),所設定的「關閉整體防毒(DisableAntiSpyware)」原則成功生效並保留了下來。因為底層引擎被關了,其實即時保護也就跟著形同虛設,但你就成功達到了讓它維持關閉的目的。
背後的關鍵背景知識
為什麼微軟要搞得這麼複雜?主要有兩個原因:
- 竄改保護 (Tamper Protection):這是微軟後來加入的強大防線。只要這功能開著,你透過群組原則或登錄檔做的任何停用設定,重開機後都會被無視並強制恢復。你上述的測試如果能成功,通常是因為你已經先手動關閉了「竄改保護」。
- 微軟棄用了整體開關:早在 2020 年 8 月,微軟就官方公告,一般家用版和專業版的 Windows,將不再理會群組原則裡的「關閉 Microsoft Defender 防毒軟體(DisableAntiSpyware)」設定(除非有安裝第三方防毒)。但因為 Windows 是個龐大且充滿歷史遺留程式碼的系統,當不同原則交錯設定時,就會跑出像你發現的這種「Bug / 漏洞」。
總結來說:這發現了微軟在設計防護邏輯時的一個盲區。情境 A 觸發了系統的「恐慌重置」。情境 B 則安撫了系統的檢查機制,讓「關閉」指令得以偷渡成功。這是一個非常硬核且有趣的系統行為觀察!
Turn 4
👤 User
Windows 10 IoT Enterprise 2021 LTSC 好像關了 Windows Defender 也會自動恢復
🤖 Assistant
你觀察得非常正確!即使是主打「高穩定、低干擾、讓企業擁有最高控制權」的 Windows 10 IoT Enterprise 2021 LTSC,依然會發生這個「強制復活」的狀況。這主要是因為 LTSC 2021 的核心是基於 Windows 10 版本 21H2。而在這個版本中,微軟對於 Defender 的底層防護機制已經寫得非常死。
會導致 LTSC 2021 關閉 Windows Defender 後又自動恢復,通常是以下 兩個「大魔王」在作祟:
1. 最大元兇:竄改保護 (Tamper Protection) 沒關
從 2019 年以後的 Windows 10 版本開始,微軟導入了「竄改保護」機制,並且在 21H2 (LTSC 2021) 中預設為開啟,且防護層級極高。
- 它的運作邏輯:「竄改保護」會鎖死 Windows Defender 的核心設定。只要這個功能開著,它會直接無視並覆蓋掉任何來自「群組原則 (Group Policy)」或「登錄檔 (Registry)」的修改。它會把這些修改視為「惡意軟體試圖關閉防毒」,然後在系統重開機(甚至幾分鐘內)強制把 Windows Defender 叫回來。
- 破解方法:你必須「先」進到 Windows 安全性介面,手動把「竄改保護」關閉,「然後」再去設定群組原則的
DisableAntiSpyware(關閉 Microsoft Defender 防毒軟體)。順序錯了,群組原則就不會生效。
2. IoT 專屬元兇:統一寫入篩選器 (UWF) 啟動了
因為使用的是 IoT Enterprise 版本,這是一個專為嵌入式設備、POS 機、數位看板設計的系統。這個系統有一個非常有名的特殊功能叫 UWF (Unified Write Filter)。
- 它的運作邏輯:UWF 就像是以前網咖用的「還原卡」軟體版。如果你的系統開啟了 UWF 來保護 C 槽,那麼你在開機狀態下做的任何設定(包含關閉 Windows Defender、修改群組原則、新增檔案),都只是寫在暫存記憶體裡。
- 結果:只要一重新開機,UWF 就會把系統「完美還原」到開機前的狀態,Windows Defender 當然也就跟著滿血復活了。
- 解決方法:如果有啟用 UWF,你必須先下指令禁用 UWF(
uwfmgr filter disable),重開機後,再去關閉 Windows Defender,設定好之後再把 UWF 重新打開。
💡 針對 LTSC 2021 的「徹底關閉」標準 Sriram(流程)
如果確定不是 UWF 還原而卡住的問題,那要在 LTSC 2021 中徹底讓它「乖乖躺平」,正確的完整步驟是:
- 手動繳械:開啟「Windows 安全性」→「病毒與威脅防護」→「管理設定」。
- 關閉四大天王:將「即時保護」、「雲端提供的保護」、「自動提交樣本」,以及最重要的「竄改保護」全部手動關閉。
- 設定群組原則:進入 `
gpedit.msc`,找到 "電腦設定 → 系統管理範本 → Windows 元件 → Microsoft Defender 防毒軟體",將「關閉 Microsoft Defender 防毒軟體」設為「已啟用」。 - 重開機:這時候系統因為「竄改保護」已經被拔掉,就會乖乖聽從群組原則的指令,重開機後 Windows Defender 就不會再自己爬起來了。
總結來說:LTSC 2021 雖然給了企業很大的控制權(例如不會被強制塞功能更新),但在 安全性 這塊,微軟的底線踩得很硬。不先通過「竄改保護」這一關,那任何 GPO 設定都會被系統當作惡意攻擊而自動復原。
Turn 5
👤 User
UWF 關閉時設定按照上述設定後 UWF 再開起來後, Windows Defender 還是會自動啟動起來。
🤖 Assistant
這真的是一場與 Windows 底層機制的「終極對決」!你遇到的這個狀況,在 Windows 10 IoT Enterprise 2021 (21H2) 中是非常經典的痛點。
就算你在 UWF 關閉的狀態下把 GPO(群組原則)都設定好了。一旦 UWF 重新啟動,Windows Defender 卻還是會「穢土轉生」,這背後的原因在於 UWF 內建的「VIP 排除特權」以及 微軟的安全中心強制審查機制。
為什麼 UWF 一開,Defender 就跟著復活?
1. UWF 內建了 Defender 的「自動排除清單」
微軟在設計 UWF 時,為了確保系統在防寫鎖定的狀態下依然能更新防毒碼,UWF 在啟動時,會自動將 Defender 的關聯資料夾與登錄檔(Registry)加入排除清單(Exclusions)。這意味著,Defender 的狀態變更是 不受 UWF 保護與鎖定 的。
2. 安全中心 (Security Center) 的強制喚醒
如前所述,微軟早就把 GPO 裡的 `DisableAntiSpyware` 指令寫成了「無效(被棄用)」。當 UWF 服務啟動並接管系統時,會觸發 Windows 的系統狀態重整。這時,Windows 安全中心會進行健康掃描,它發現:「防毒是關的 + 沒有第三方防毒」,於是它觸發了緊急修復機制,直接從底層強制啟動 `WinDefend`(Defender 核心服務)。
3. 兩者結合的結果
因為 UWF 對 Defender 放行(排除了它的登錄檔),所以安全中心的「強制喚醒指令」可以直接寫入系統並生效。這就是為什麼 UWF 一開,Defender 就順理成章地復活了。
最終解法:從「服務底層」物理閹割 (Safe Mode 登錄檔法)
既然群組原則 (GPO) 只是「口頭勸導」,Windows 系統根本不聽。在 Windows 10 IoT Enterprise 2021 LTSC 的系統中讓 Windows Defender 徹底死透,必須直接把「系統服務」給拔掉。由於這些服務受到 `TrustedInstaller` (最高系統權限) 保護,在正常開機下連 Administrator 都無法修改,必須透過 安全模式 (Safe Mode) 來進行。
請在「UWF 關閉 (Disabled)」的狀態下,執行以下步驟:
步驟 1:關閉防護與準備
- 確認 UWF 目前是關閉的。
- 進入 Windows 安全性,將「即時保護」與「竄改保護 (Tamper Protection)」手動關閉(這步極度重要,否則重開機會被還原)。
步驟 2:進入安全模式
- 按住鍵盤上的 `Shift` 鍵,同時點擊開始功能表裡的「重新啟動」。
- 進入藍色修復畫面後,選擇「疑難排解」→ 「進階選項」→ 「啟動設定」→ 點擊「重新啟動」。
- 重開機後,按下鍵盤的 `4` 或 `F4` 進入「啟用安全模式」。
步驟 3:修改底層登錄檔 (Registry)
- 進入安全模式後,因為 Defender 的自我保護機制沒跟著載入,現在就擁有修改權限了:
- 按下 `Win + R` 輸入 `regedit` 打開登錄編輯程式。
- 導覽到以下路徑:
`HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services` - 在左側清單找到以下幾個與 Defender 相關的服務資料夾,並將它們右側的 `Start` 數值資料改為 4 (代表停用):
- WinDefend (這是最核心的防毒引擎服務) :將 `Start` 改為 `4`
- WdNisSvc (網路檢查系統服務) :將 `Start` 改為 `4`
- Sense (進階威脅防護,如果有看到的話) : 將 `Start` 改為 `4`
- SecurityHealthService (安全中心健康服務,防止它去檢查並報錯) :將 `Start` 改為 `4`
步驟 4:停用排程工作 (雙重保險)
- 在安全模式下搜尋並開啟「工作排程器 (Task Scheduler)」。
- 展開左側路徑:`工作排程器程式庫` → `Microsoft` → `Windows` → `Windows Defender`。
- 將右邊列出的所有排程工作(通常有 4 個,例如 `Windows Defender Scheduled Scan`、`Windows Defender Verification` 等),全部點右鍵選擇「停用」。
步驟 5:重開機並重新開啟 UWF
- 正常重新開機回到一般 Windows 環境。
- 此時你可以打開工作管理員或 PowerShell (`
Get-Service WinDefend`) 檢查,Defender 相關的服務已經完全處於「停用 (Disabled)」狀態,且系統無法自動喚醒它。 - 確認它徹底躺平後,最後再將 UWF 開啟 (uwfmgr filter enable) 並重開機。
透過這種從底層直接癱瘓服務的方法,即使 UWF 重新啟動觸發了系統掃描,Windows 也會因為找不到可以啟動的防毒服務(且服務已被鎖死在停用狀態),而放棄喚醒 Windows Defender。
慎重提醒:
本篇只是留下關閉 Windows Defender 與 拔除 Real-time Protection 的處理過程與紀錄,而非建議這樣做。
真的要做這件事情的話,請妥善的評估是否有完整的其他資安防護機制,以彌補在 "關閉 Windows Defender 與 拔除 Real-time Protection" 後所產生的資安風險。
Windows 10/11 IoT Enterprise 介紹參考:
https://www.synnex-grp.com/component/tech_paper_53.html
I'm a Microsoft MVP - Developer Technologies (From 2015 ~).
I focus on the following topics: Xamarin Technology, Azure, Mobile DevOps, and Microsoft EM+S.
If you want to know more about them, welcome to my website:
https://jamestsai.tw
本部落格文章之圖片相關後製處理皆透過 Techsmith 公司 所贊助其授權使用之 "Snagit" 與 "Snagit Editor" 軟體製作。